Tycoon Phishing Kit utilise plusieurs vecteurs d’attaque
La communauté de la cybersécurité a exprimé de vives inquiétudes concernant une boîte à outils de phishing récemment découverte appelée Tycoon 2FA. Découvert par l'équipe Sekoia Threat Detection & Research (TDR) en octobre 2023 et discuté dans un avis publié aujourd'hui, ce kit utilise la technique Adversary-in-The-Middle (AiTM) et est censé être utilisé par plusieurs acteurs de la menace pour mener des actions à grande échelle. et des attaques efficaces.
Selon les conclusions de Sekoia, la plateforme Tycoon 2FA est active depuis au moins août 2023 et la société surveille avec diligence son infrastructure associée depuis sa découverte. Leur analyse indique que Tycoon 2FA est l'un des kits de phishing AiTM les plus répandus, avec plus de 1 100 noms de domaine détectés entre octobre 2023 et février 2024.
Le kit de phishing Tycoon 2FA fonctionne en plusieurs étapes pour mener à bien ses activités malveillantes. Initialement, les victimes sont dirigées via des pièces jointes à un e-mail ou des codes QR vers une page présentant un défi Cloudflare Turnstile visant à dissuader le trafic indésirable. Après avoir relevé ce défi, les utilisateurs rencontrent une page d'authentification Microsoft contrefaite, sur laquelle leurs informations d'identification sont collectées. Le kit relaie ensuite ces informations à l'API d'authentification Microsoft légitime, interceptant les cookies de session pour contourner l'authentification multifacteur (MFA).
La nouvelle version de Tycoon apporte des changements importants
Dans son dernier avis, Sekoia note l'identification d'une nouvelle version de Tycoon 2FA en février 2024, comportant des modifications significatives de ses codes JavaScript et HTML, améliorant ainsi ses capacités de phishing. Les modifications notables incluent l'exclusion du défi Cloudflare Turnstile de la page HTML initiale et la consolidation des anciens téléchargements JavaScript distincts en étapes de gestion de la mise en œuvre de 2FA et de la transmission de données. De plus, le kit utilise des tactiques furtives raffinées, retardant la fourniture de ressources malveillantes jusqu'après la résolution du défi Cloudflare et utilisant des URL nommées de manière aléatoire pour échapper à la détection.
Sekoia alerte également sur les connexions potentielles entre Tycoon 2FA et d'autres plateformes de phishing connues, suggérant une infrastructure partagée et éventuellement des bases de codes partagées, appelant à une vigilance accrue contre de telles menaces.